facebookpixel

JSC it-partner info@jsc.se 0380-55 65 00

WEBSHOP
KONTAKT
SUPPORT

Cybersäkerhetslagen: vilka omfattas och varför är den viktig?

nov 28, 2025

Cybersäkerhetslagen – vilka typer av företag omfattas?

Den 15 januari 2026 träder Sveriges nya cybersäkerhetslag i kraft, ett genomförande av EU:s NIS2-direktiv. Lagen syftar till att höja cybersäkerhetsmognaden och stärka skyddet för samhällsviktig verksamhet och leverantörskedjor. Men frågan är: Hur vet du om din organisation omfattas av lagen, och varför bör säkerhetsarbetet vara en prioritet, oavsett om lagen gäller dig eller inte? I detta blogginlägg går vi på djupet kring cybersäkerhetslagen och dess betydelse.

Vilka omfattas av cybersäkerhetslagen?

Den nya lagen riktar sig mot både privat och offentlig sektor som bedriver samhällsviktig verksamhet eller är del av kritiska leverantörskedjor. Exempel på sektorer som omfattas är energi, vatten, hälso- och sjukvård, transport och digital infrastruktur. Även tillverkande industriföretag, exempelvis de som producerar komponenter för fordonsindustrin, kan falla under lagen.

Storlek spelar roll: Lagen gäller som huvudregel för organisationer inom utpekade sektorer om du har minst 50 anställda eller en årlig omsättning/balanssumma över 10 miljoner euro. Undantag från storlekskravet finns för särskilt kritiska verksamheter (se nedan).

Obs! Storleksbedömningen kan påverkas av partner- och anknutna företag i samma grupp/koncern enligt SME‑reglerna. Vid gränsfall eller komplexa koncernstrukturer – gör en samlad bedömning mot rekommendation 2003/361/EG.

Offentlig sektor som omfattas:
Regioner och kommuner omfattas.
– Vissa statliga myndigheter omfattas (bl.a. sådana med beslut som påverkar gränsöverskridande rörlighet för personer, varor, tjänster eller kapital).
– Regeringen kan även peka ut ytterligare myndigheter via förordning.

Privat sektor som omfattas:
– Verksamheter i sektorer enligt bilaga 1 (högkritiska) och bilaga 2 (andra kritiska) i NIS2-direktivet.
Leverantörer av elektroniska kommunikationsnät eller allmänt tillgängliga elektroniska kommunikationstjänster (telekom).
– Vissa digitala infrastrukturtjänster (t.ex. moln, datacenter, CDN, utlokaliserade drift-/säkerhetstjänster, online-marknadsplatser, sökmotorer, sociala plattformar), om de har huvudetablering eller företrädare i Sverige och uppfyller storlekskravet eller särskilda kritikalitetskriterier.

Särskilt kritiska verksamheter omfattas oavsett storlek om:
– Organisationen är den enda leverantören i Sverige av en tjänst som är väsentlig för att upprätthålla kritisk samhällelig eller ekonomisk verksamhet.
– En störning kan ha betydande påverkan på skyddet för människors liv och hälsa, allmän säkerhet eller folkhälsa eller medföra betydande systemrisker.
– Organisationen har särskild betydelse på nationell eller regional nivå för en sektor eller för andra beroende sektorer.
Tillhandahållare av betrodda tjänster (särskilt kvalificerade) omfattas.

Viktigt: Tillsyns- och rapporteringsmyndigheterna pekas ut av regeringen i förordning. Det är alltså inte fastlagt i lagen exakt vilken myndighet som tar emot anmälningar och rapporter.

Värt att betona igen är att både privat och offentlig sektor omfattas (enskilda verksamhetsutövare, aktiebolag, stiftelser, statliga myndigheter, kommuner och regioner) och att hela organisationen omfattas – om din verksamhet kvalificerar under samma organisationsnummer kan du inte ”välja bort” en del som känns mindre kritisk.

Sektorer delas in i två huvudgrupper:

  • Högkritiska sektorer: till exempel energi (elektricitet, fjärrvärme, fjärrkyla, olja, gas, vätgas), allmänna elektroniska kommunikationsnät och -tjänster, kvalificerade betrodda tjänster, registreringsenhet för toppdomäner, digital infrastruktur (inkl. DNS), transport, dricksvatten och avloppsvatten, hälso- och sjukvård, samt offentlig förvaltning (statliga myndigheter, kommuner och regioner enligt lagens kriterier).
  • Andra kritiska sektorer: här ingår bland annat tillverkning enligt klassificeringen ”Nace revision 2” (sektorer 26–30). Exempel: fordonsindustri – både komplett fordon, karosser, släp, samt delar och tillbehör.

Vad lagen kräver av de som omfattas

De organisationer som omfattas av cybersäkerhetslagen har följande skyldigheter:

  • Anmäla sig till relevant myndighet så snart det kan ske. Förändringar i uppgifterna ska anmälas inom 14 dagar.
  • Utse företrädare om verksamheten saknar etablering inom EES men erbjuder tjänster i Sverige.
  • Vidta riskbaserade säkerhetsåtgärder som är lämpliga och proportionella. Lagen listar tio områden som ska täckas:
    1. Strategier för riskanalys och för nätverks- och informationssystemens säkerhet.
    2. Incidenthantering.
    3. Kontinuitetshantering och krishantering.
    4. Säkerhet i leveranskedjan.
    5. Säkerhet vid förvärv, utveckling och underhåll av nätverks- och informationssystem.
    6. Bedömning av effektiviteten i säkerhetsåtgärderna.
    7. Grundläggande praxis för cyberhygien och utbildning i cybersäkerhet.
    8. Strategier och förfaranden för kryptografi samt vid behov kryptering.
    9. Personalsäkerhet, åtkomstkontroll och tillgångsförvaltning.
    10. Vid behov autentisering, säkrade kommunikationer och nödkommunikationssystem.
  • Ledningsutbildning: Personerna i organisationens ledning ska genomgå utbildning om säkerhetsåtgärder.
  • Incidentrapportera betydande händelser enligt tidslinjen (se avsnittet nedan). Dessutom ska mottagare av tjänster informeras vid betydande incidenter eller betydande cyberhot.
  • Säkra leverantörskedjan genom att ställa krav på underleverantörer och följa upp.
  • Domännamnsregister (gäller registreringsenheter för toppdomäner och domännamnsregistreringstjänster): föra register över tilldelade domännamn, hålla säkerhetskopior och skyndsamt lämna ut uppgifter vid lagligen grundad begäran.

Leverantörskedjans betydelse – en central del

Ett nyckelområde i lagen är skyddet av leverantörskedjor. För att säkerställa kontinuitet och minimera riskerna måste aktörer ha full koll på vilka leverantörer de samarbetar med och deras säkerhetsnivå. Ett dataintrång hos en underleverantör kan få förödande konsekvenser för hela kedjan, vilket lagstiftningen vill motverka.

Historiska exempel på cyberattacker visar hur en attack på en leverantör kan sprida sig och påverka tusentals slutkunder. Därför inkluderar cybersäkerhetslagen krav på att företag ska informeras och agera vid förändringar i leverantörens säkerhetsarbete, samt rapportera incidenter.

Varför aktivt säkerhetsarbete är viktigt för alla

Även företag som inte omfattas av lagen har mycket att vinna på att implementera ett proaktivt säkerhetsarbete. Sverige rankas som nummer 17 bland EU-länder när det gäller cybersäkerhetsmognad, trots att vi ligger långt fram inom digitalisering. Denna obalans gör oss till ett attraktivt mål för cyberangrepp.

Att ignorera säkerhetsarbete kan leda till:

  • Ekonomiska förluster: En betydande incident kan orsaka driftstörningar, produktionsstopp och skadat förtroende hos kunder.
  • Regelefterlevnad: Även om din verksamhet inte omfattas idag kan förändringar i leverantörskedjan eller myndighetsbedömningar göra att lagen börjar gälla.
  • Ryktet: Ett dataintrång kan skada varumärket och relationen med kunder och partners på lång sikt.

Vad kan du göra idag?

Oavsett om din verksamhet omfattas av lagen eller inte, är följande steg avgörande för att skydda din organisation:

  • Genomför en gapanalys: Identifiera vad ni gör idag och vad som saknas för att stärka er cybersäkerhet.
  • Implementera ett riskbaserat arbetssätt: Kartlägg era mest kritiska tillgångar och risker, och tillför skyddsåtgärder där det gör störst nytta.
  • Säkerställ att era leverantörer uppfyller säkerhetskraven: Begär dokumentation och kravställning på deras säkerhetsarbete.
  • Utbilda personalen och ledningen: Kompetens inom cybersäkerhet – även i ledningen – är avgörande för att förhindra misstag och säkerställa att risker fångas i tid.

 

Cybersäkerhetslagen och incidentrapportering: vad, när och hur?

Rapportera ”betydande incidenter”, det vill säga händelser som har orsakat eller kan orsaka allvarlig driftsstörning för den erbjudna tjänsten eller ekonomisk skada för verksamhetsutövaren, eller som kan vålla betydande skada för andra fysiska eller juridiska personer.

Så här snabbt ska du rapportera:

  • Inom 24 timmar: upplysning till den myndighet som regeringen bestämmer (vad har hänt, omfattning, ev. gränsöverskridande påverkan).
  • Incidentanmälan: inom 24 timmar för tillhandahållare av betrodda tjänster; inom 72 timmar för övriga.
  • Delrapport: lämnas vid behov på begäran av myndigheten.
  • Inom en månad: slutrapport med vidtagna åtgärder för att förhindra upprepning. Pågår incidenten fortfarande efter en månad lämnas lägesrapport och därefter slutrapport inom en månad efter att incidenten hanterats.

Informationsskyldighet:

  • Vid en betydande incident som sannolikt påverkar tillhandahållandet av tjänsterna ska mottagarna informeras så snart det kan ske.
  • Vid ett betydande cyberhot ska mottagarna som kan påverkas informeras om skydds- och motåtgärder som de kan vidta. Vid behov även om själva hotet.

Rapporter lämnas till den myndighet som regeringen pekar ut i kommande förordning. CERT-SE är Sveriges nationella CSIRT och samverkar med det nationella cybersäkerhetscentret (NCSC) och motsvarigheter i andra EU-länder.

Cybersäkerhetslagen handlar om motståndskraft

Sveriges nya cybersäkerhetslag är en omfattande och viktig förändring som syftar till att stärka samhällets motståndskraft mot cyberhot. För organisationer som omfattas är det nu bråttom att säkerställa att de uppfyller kraven. För företag som inte omfattas är det fortfarande avgörande att bedriva ett aktivt säkerhetsarbete – både för att skydda sin verksamhet och för att kunna möta krav från leverantörer och partners. Cybersäkerhetslagen kräver att du arbetar riskbaserat och proportionerligt, med fokus på din verksamhets verkliga behov. Vem som omfattas styrs av sektor, storlek, koncernförhållanden och i vissa fall särskild kritikalitetdet är bättre att anmäla än att chansa.

Tillsyn och sanktioner:
– Tillsyn utförs av den eller de myndigheter som regeringen bestämmer. Den kan omfatta regelbundna eller riktade säkerhetsrevisioner och säkerhetsskanningar.
– Vid överträdelser kan myndigheten besluta om förelägganden (med vite), sanktionsavgifter och – för väsentliga verksamhetsutövare vid allvarliga överträdelser – förbud att inneha ledningsfunktion under viss tid.
– Sanktionsavgifter kan uppgå till det högsta av 2 % av global omsättning eller 10 miljoner euro (väsentliga) och 1,4 % eller 7 miljoner euro (viktiga). För offentliga verksamhetsutövare upp till 10 miljoner kronor.

Oavsett om du omfattas eller inte: börja nu.

Det här handlar om verksamhetskritisk robusthet, inte bara juridisk efterlevnad. Som vi ofta tjatar om: det är inte längre en fråga om ”om” något händer, utan ”när”. Genom att agera idag kan du framtidssäkra din verksamhet mot morgondagens hot.

För företag som söker stöd för att stärka sin IT-säkerhet erbjuder vi ett metodiskt och verksamhetsanpassat arbete. Vi hjälper företag att skapa en säker IT-miljö genom allt från nulägesanalys till löpande stöd och utbildning – läs mer på vår sida IT-säkerhet företag.